<aside>
<img src="/icons/reorder_green.svg" alt="/icons/reorder_green.svg" width="40px" /> **Home • Posts • About Me • Pages • Contact Me**
</aside>
시리즈 연재
<aside>
🎯 Vol.1 UAT-5918: 대만 중요 인프라를 노린 오픈소스 무기화 공격 분석 🎯 Vol.2 Lazarus 그룹: Impacket을 활용한 lateral movement 공격 분석 🎯 Vol.3 APT28 (Fancy Bear): Mimikatz와 PowerSploit을 활용한 권한 상승과 내부 침투 🎯 Vol.4 APT10: QuasarRAT과 PlugX를 활용한 장기 침투 및 정보 수집 작전 🎯 Vol.5 UNC2452 (SolarWinds 공격자): Cobalt Strike를 활용한 침투 후 활동 정밀 분석 🎯 Vol.6 FIN7: Carbanak과 AutoIt을 이용한 금융 시스템 침투 및 제어 🎯 vol.7 APT33: Ruler와 Roadtools를 활용한 정보 수집 및 내부 정찰 작전 🎯 Vol.8 Silent Librarian (TA407): 웹사이트 복제 도구를 활용한 학술기관 대상 피싱 공격 🎯 Vol.9 APT41: C2concealer와 ShadowPad를 활용한 공급망 침투 및 은닉 C2 인프라 구축 🎯 Vol.10 Turla: Metasploit Framework를 활용한 고급 침투 및 C2 인프라 구축
</aside>
목차
APT33(다른 이름: Elfin, Holmium, Peach Sandstorm, Refined Kitten, Magnallium, NewsBeef, Cobalt Trinity, G0064)은 최소 2013년부터 활동해 온 이란 정부의 지원을 받는 것으로 강력하게 추정되는 사이버 위협 그룹입니다. 이들은 주로 중동, 미국, 아시아, 유럽 등지의 항공우주, 에너지(석유화학 포함), 방위산업, 정부 기관 등을 표적으로 삼아 사이버 스파이 활동을 통한 정보 탈취에 주력해왔습니다. 그러나 SHAPESHIFT/STONEDRILL과 같은 파괴적인 와이퍼 악성코드를 사용하는 등 사보타주 능력도 보유하고 있어 단순 정보 수집을 넘어선 위협으로 간주됩니다. 최근 활동에서는 패스워드 스프레이 공격, 클라우드 서비스(Office 365) 계정 탈취, 그리고 새로운 맞춤형 백도어(Tickler, FalseFont) 사용 등 지속적으로 전술을 발전시키고 있는 모습을 보입니다.
<aside>
</aside>
| 항목 | 내용 |
|---|---|
| 그룹명 | APT33, Elfin, Holmium, Peach Sandstorm, Refined Kitten, Magnallium, NewsBeef, Cobalt Trinity, G0064 |
| 활동 시기 | 2013년 ~ 현재 |
| 주요 대상 | 항공우주 (군사/상업), 에너지/석유화학 (ICS 포함), 방위산업, 정부, 연구 기관, 금융, 통신 등. (주요 지역: 미국, 사우디아라비아, 대한민국, 유럽, 중동, 아시아) |
| 추정 배후/지역 | 이란 정부 (나스르 연구소, IRGC 연계 가능성) |
| 공격 특징 | 사이버 스파이 활동, 전략 정보 수집, 잠재적 파괴 공작. 맞춤형 악성코드(DROPSHOT, TURNEDUP 등)와 오픈소스/상용 도구(PowerShell, Mimikatz, LaZagne, Ruler 등)의 혼합 사용. 스피어피싱(HTA, LNK, CHM 파일), 취약점 악용(Exchange 등), 패스워드 스프레이, 클라우드 계정 탈취 등 다양한 초기 접근. PowerShell 및 VBScript 난독화, 안티에뮬레이션, 프로세스 주입 등 방어 회피. |